波波的文章

今天分享一篇在滲透測試中時常會用到的一些小技巧 "web狗要懂的內網端口轉發" 內容滿基礎的，但也很重要! 原文出處：https://www.jianshu.com/p/735e8f1746f0?utm_campaign=maleskine...

讚(0)波波2018-03-01Web Security 閱讀(1830)

今天分享一篇WAF攻防介紹，在實際攻擊場景中，單一的繞過技巧往往無效，需要我們綜合利用各種繞過技術進行組合，結合各自WAF特性不斷進行推理，才能真正實現繞過。 原文出處：http://galaxylab.org/waf%E6%94%BB%E...

讚(0)波波2018-02-28Web Security 閱讀(1501)

今天分享一篇，總結一些下載和執行的方法，其中也大量包含一些AppLocker ByPass技術和dll注入技術，部分也可以用於後門創建，大家可以根據不同的環境和場景選擇使用。 原文出處：http://reverse-tcp.xyz/2017...

讚(0)波波2018-02-27Web Security 閱讀(1748)

今天分享一篇未授權訪問漏洞的總結文章，未授權訪問可以理解為需要安全配置或權限認證的地址、授權頁面存在缺陷，導致其他用戶可以直接訪問，從而引發重要權限可被操作、數據庫、網站目錄等敏感信息洩露。 目前主要存在未授權訪問漏洞的有：NFS服務，Sa...

讚(0)波波2018-02-26Web Security 閱讀(1808)

今天分享一篇文章，討論下怎麼利用memfd_create和fexecve這兩個函數來開發一個超級隱蔽的dropper 這篇文章中作者是以打開xeye程序為範例，想想還有其它猥瑣的利用場景嗎？ 原文出處：https://kevien.gith...

讚(0)波波2018-02-25未分類 閱讀(1872)

今天分享一篇Java反序列化漏洞的介紹，在眾多漏洞中，最數反序列化漏洞的表現最「輝煌」，從15年影響WebSphere、JBoss、Jenkins、WebLogic等大型框架的Apache Commons Collections 反序列化遠...

讚(0)波波2018-02-24Web Security 閱讀(1487)

分享一篇免殺過狗的PHP後門，雖然文章是15年的，有些後門可能已經被修補了，但還是可以參考看看大神們是如何不用動態函數、eval、敏感函數來達到一句話後門吧 看完後，也想想有沒有更好的繞過方式呢? 原文出處：https://www.leav...

讚(0)波波2018-02-23Web Security 閱讀(1745)

今天分享一篇Nginx配置安全的介紹，大多數人架網站都會用到LAMP、LNMP架構，如果你剛好有用Nginx的話，一起來看看是哪三個案例吧。 原文出處：https://www.leavesongs.com/PENETRATION/nginx...

讚(0)波波2018-02-22Web Security 閱讀(1472)

今天分享一篇Red Team&滲透測試時用到的一些小技巧 原文出處：http://synack.blog/posts/red-teaming-and-pentesting-tips/index.html －－－－－－－－－－－－－－－－－－...

讚(0)波波2018-02-21Web Security 閱讀(1380)

今天分享資安人員phithon於初一在代碼審計知識星球發佈的一道題目 「攻击LNMP架构Web应用的几个小Tricks」 一起來看看吧 原文出處：https://www.leavesongs.com/PENETRATION/some-tri...

讚(0)波波2018-02-20代碼審計 閱讀(1887)